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Description 

Drive apparatus for safety-critical components, and a 
corresponding method 

The present invention relates to a drive apparatus for open- 
loop or closed-loop control of a safety-critical component 
having a switching device which has a first switch and a second 
switch, which is connected in series with the first, for 
switching the safety-critical component, a first control device 
for reception of an input signal and emission of a first drive 
signal, and a second control device for reception of the input 
signal and for emission of a second drive signal. The present 
invention also relates to a corresponding method for open- loop 
or closed-loop control of a safety-critical component. 



Many safety applications require a very short reaction time for 
processing of an EMERGENCY-OFF demand. Although present-day 
modern safety appliances generally use microcontrollers and 
internal functions can therefore be processed very quickly, 
filter algorithms have to be used, because of burst and RF 
interference, in order to achieve the maximum availability. 
Further boundary effects such as compensation for the cable 
capacity and dynamic input testing in the end lead to 
relatively long evaluation times. 

A drive apparatus which has two series-connected switches in 
order to satisfy the hardware redundancy requirement, with the 
switches each being electrically connected to their own 
microcontroller via a relay drive, is known from the report 
"Not-Aus-Schaltgerate, Schutztiirwachter [Emergency-of f 

switching devices, guard door monitors] Announcement Pilz NSG- 
D-l-051-07/00, XX, XX, July 2000 (2000-07), pages 1 to 4, XP 
000961973" One input of each of the microcontrollers is 
electrically connected to an emergency-of f switch, and they are 
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formed alongside one another, with equal authority. The 
switches can each be controlled via the associated 
microcontroller. The switches are controlled as a function of 
the need to switch off a safety-critical component. 

Furthermore, a safety device in which a sensor apparatus is 
electrically connected to two evaluation devices is known from 
German Laid Open Specification DE 44 09 541 Al . One output of 
each evaluation unit is electrically connected to a switch 
which is in the form of an auxiliary contactor. A timer is 
arranged in the signal path between one evaluation unit and one 
auxiliary contactor, by means of which timer it is possible to 
switch off a downstream main circuit via the auxiliary 
contactor, with a delay. 

A further problem is represented by the fact that, in safety 
appliances from Category SIL3 with respect to the European IEC 
Standard 615 08, two controllers must always be used for 
hardware redundancy and fault tolerance reasons. 

The applicant has solved this problem, in the case of safety 
appliances, by using two controllers with identical hardware 
and 



AMENDED SHEET 



2003P06054 WO - 3 - EP0403874 

PCT/EP2004/003874 

The object of the present invention is thus to propose a drive 
apparatus and a corresponding method for open-loop or closed- 
loop control of a safety-critical component, whose reaction 
time is shortened on average. 

According to the invention, this object is achieved by a drive 
apparatus for open-loop or closed-loop control of a safety- 
critical component having a switching device which has a first 
switch and a second switch, which is connected in series with 
the first, for switching the safety-critical component, a first 
control device for reception of an input signal and emission of 
a first drive signal, and a second control device for reception 
of the input signal and for emission of a second drive signal, 
wherein the first switch in the switching device can be driven 
by the first control device and the second switch in the 
switching device can be driven by the second control device. 
The first and the second switch are driven with a time-offset 
with respect to one another. Furthermore, the first and the 
second control device operate on the master/slave principle, 
thus resulting in a defined time offset. 

The invention also provides a method for open-loop or closed- 
loop control of a safety-critical component by provision of a 
switching device which has a first switch and a second switch, 
which is connected in series with the first, for switching the 
safety-critical component, provision of a first control device, 
which is connected to the switch, and of a second control 
device which is connected to the second switch, reception of an 
input signal and emission of a first drive signal from the 
first control device to the first switch in the switching 
device on the basis of the input signal, wherein the second 
control device emits a second drive signal to the second switch 
in the switching device on the basis of the input signal. 
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The invention is based on the idea that the output should be 
switched off irrespective of which of the 
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switches is turned off first all. Since both controllers or 
control devices now drive the series circuit comprising the two 
switches and this results in the outputs of the controllers 
being AND-linked, the output to the switching device is 
switched off in all cases with the shorter reaction time of the 
two controllers. 

One positive side-effect of this time-offset switching is that 
simultaneous welding of the two switches, for example 
contactors, can be precluded. The EMERGENCY-OFF function is 
thus still ensured even after welding of one of the contacts of 
the switches. 

The time-offset switching-of f of the switches also has the 
advantage that approximately the same life can be expected of 
both switches. This is because each switch is switched off with 
equal frequency, statistically on average, with and without 
current flowing through it. 

The first and the second switch in the switching device are 
preferably each formed by a relay or a contactor. 
Alternatively, the first and the second switch may, however, 
also be in the form of semiconductor switches or may comprise 
an optocoupler. 

The time offset is then, specifically, governed by the time 
period which the master requires in order to make the slave 
aware of an event . 

An electrical machine with a load circuit is advantageously 
equipped with the said drive apparatus according to the 
invention. In this case, the drive apparatus may 
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Patent Claims 

1. A drive apparatus for open-loop or closed-loop control of 
a safety-critical component having 

a switching device which has a first switch (SI) and a 
second switch (S2), which is connected in series with the 
first, for switching the safety-critical component, 
a first control device (CI) for reception of an input 
signal and emission of a first drive signal, and 
a second control device (C2) for reception of the input 
signal and for emission of a second drive signal, wherein 
the first switch (SI) in the switching device can be 
driven by the first control device (CI) and the second 
switch (S2) in the switching device can be driven by the 
second control device (C2), 
characterized in that 

the first switch (SI) and the second switch (S2) can be 
driven with a time offset with respect to one another, and 
the first and the second control device operate on the 
master/slave principle. 

2. The drive apparatus as claimed in claim 1, wherein the 
first and the second switch are in each case a relay or a 
contactor . 

3. The drive apparatus as claimed in claim 1, wherein the 
first and the second switch are in each case a semiconductor 
switch. 

4. The drive apparatus as claimed in claim 1, wherein the 
first and the second switch in each case comprise an 
optocoupler . 

5. An electrical machine having a load circuit and a drive 
apparatus as claimed in one of the preceding claims . 
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6. The electrical machine as claimed in claim 5, also having 
an emergency-of f switch (X) for supplying the input signal. 

7. A method for open-loop or closed-loop control of a safety- 
critical component by: 

provision of a switching device which has a first switch 
(SI) and a second switch (S2), which is connected in 
series with the first, for switching the safety-critical 
component, 

provision of a first control device (CI) , which is 
connected to the switch (SI) , and of a second control 
device (C2) which is connected to the second switch (S2), 
reception of an input signal, 

emission of a first drive signal from the first control 
device (CI) to the first switch (SI) in the switching 
device on the basis of the input signal, and 
emission of a second drive signal from the second control 
device (C2) to the second switch (S2) in the switching 
device on the basis of the input signal, 
characterized in that 

the first and the second drive signal are emitted with a 
time offset with respect to one another, wherein the first 
and the second drive signal are produced using a 
master/slave process as a function of the input signal, 
thus resulting in the defined time offset. 

8. The method as claimed in claim 7, wherein the switching 
device is used to switch a load circuit of an electrical 
machine . 

9. The method as claimed in one of claims 7 or 8 , wherein the 
input signal is produced by an emergency-of f switch (X) . 
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Beschreibung 

Ansteuervorrichtung fiir sicherheitskritische Komponenten und 
entsprechendes Verfahren 

5 

Die vorliegende Erfindung betrifft eine Ansteuervorrichtung 
zum Steuern oder Regeln einer sicherheitskritischen Komponen- 
te mit einer Schalteinrichtung, die einen ersten Schalter und 
einen zweiten, mit dem ersten in Reihe verbundenen Schalter 
10 zum Schalten der sicherheitskritischem Komponente aufweist, 
einer ersten Steuerungseinrichtung zur Aufnahme eines Ein- 
) gangssignals und Ausgabe eines ersten Ansteuersignais— und— ei — 

ner zweiten Steuerungseinrichtung zur Aufnahme des Eingangs- 
signals und Ausgabe eine zweiten Ansteuersignals . DarUber 
15 hinaus betrifft die vorliegende Erfindung ein entsprechendes 
Verfahren zum Steuern oder Regeln einer sicherheitskritischen 
Komponente . : : 

Bei vielen sicherheitstechnischen Anwendungen wird eine sehr 
20 geringe Reaktionszeit zur Verarbeitung einer NOTAUS-Anf orde- 
rung benotigt. Obwohl die heutigen modernen Sicherheitsgerate 
in der Regel Mikrocontroller benutzen und deshalb interne 
Funktionen sehr schnell abgearbeitet werden konnen, mussen 
wegen Burst- und HF-Storungen Filteralgorithmen verwendet 
^ 25 werden, urn eine maximale Verf Ugbarkeit zu erzielen. Weitere 

Randeffekte wie die Kompensation der Kabelkapazitat und dyna- 
mische Eingangspruf ung fiihren letztlich zu relativ langen 
Auswertezyklen . 

30 Aus dem Bericht "Not-Aus-Schaltgerate, Schutzturwachter ; An- 
nouncement Pilz NSG-D-1-051-07/00, XX, XX, Juli 2000 (2000- 
07), Seiten 1 bis 4, XP 000961973" ist eine Ansteuervorrich- 
tung bekannt, welche im Hinblick auf das Hardwareredundanzer- 
fordernis zwei in Reihe geschaltete Schalter aufweist, die 

35 jeweils uber eine Relaisansteuerung mit einem eigenen iiCon- 
troller elektrisch verbunden sind. Die ^Controller sind je- 
weils mit einem Eingang mit einem Not-Aus-Schalter elekt- 
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risch gekoppelt und gleichberechtigt nebeneinander ausgebil- 
det. Die Schalter sind jeweils uber den zugeordneten pCon- 
troller steuerbar. Abhangig von einem erf orderlichen Abschal- 
ten einer sicherheitskritischen Komponente werden die Schal- 
5 ter gesteuert. 

Des Weiteren ist aus der deutschen Of f enlegungsschrif t 

DE 44 09 541 Al eine sicherheitstechnische Einrichtung be- 

kannt, bei der eine Sensorvorrichtung mit zwei Auswerteein- 

10 richtungen elektrisch verbunden ist. Jede Auswerteeinheit ist 
mit einem Ausgang mit einem als Hilfsschutz ausgebildeten 
Schalter elektrisch verbunden. In die Signalstrecke zwischen 
einer Auswerteeinheit und einem Hilfsschutz ist ein Zeitglied 
angeordnet, mit dem das verzSgerte Abschalten eines nachge- 

15 ordneten Hauptstromkreises uber den Hilfsschutz durchgefuhrt 
werden kann. 

Ein weiteres Problem stellt die Tatsache dar, dass in Sicher- 
heitsgeraten ab der Kategorie SIL3 bezogen auf die europai- 
20 sche Norm IEC 615 08 immer zwei Controller aus Griinden der 
Hardwareredundanz und Fehlertoleranz eingesetzt werden miis- 
sen, 

Seitens des Anmelders wurde dieses Problem dadurch gelost, 
25 dass bei Sicherheitsgeraten zwei von der Hardware identische 
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Die Aufgabe der vorliegenden Erfindung besteht somit darin, 
eine Ansteuervorrichtung und ein entsprechendes Verfahren zum 
Steuern oder Regeln einer sicherheitskritischen Komponente 
mit durchschnittlich verkurzter Reaktionszeit vorzuschlagen. 

5 

Erf indungsgemali wird diese Aufgabe gelost durch eine Ansteu- 
ervorrichtung zum Steuern oder Regeln einer sicherheitskriti- 
schen Komponente mit einer Schalteinrichtung, die einen ers- 
ten Schalter und einen zweiten, mit dem ersten in Reihe ver- 

10 bundenen Schalter zum Schalten der sicherheitskritischen Kom- 
ponente aufweist, einer ersten Steuerungseinrichtung zur Auf- 
nahme eines Eingangssignals und Ausgabe eines ersten Ansteu- 
ersignals und einer zweiten Steuerungseinrichtung zur Aufnah- 
me des Eingangssignals und Ausgabe eines zweiten Ansteuersig- 

15 nals, wobei der erste Schalter der Schalteinrichtung von der 
ersten Steuerungseinrichtung und der zweite Schalter der 
Schalteinrichtung von der zweiten Steuereinrichtung ansteuer- 
bar sind. Der erste und zweite Schalter werden zeitversetzt 
zueinander angesteuert. Ferner arbeiten die erste und zweite 

20 Steuerungseinrichtung nach dem Master-Slave-Prinzip, wodurch 
sich ein definierter Zeitversatz ergibt. 

Ferner wird erf indungsgemafi bereitgestellt ein Verfahren zum 
Steuern oder Regeln einer sicherheitskritischen Komponente 

25 durch Bereitstellen einer Schalteinrichtung, die einen ersten 
Schalter und einen zweiten, mit dem ersten in Reihe verbunde- 
nen Schalter zum Schalten der sicherheitskritischen Komponen- 
te aufweist, Bereitstellen einer ersten Steuerungseinrich- 
tung, die mit dem Schalter verbunden ist, und einer zweiten 

30 Steuerungseinrichtung, die mit dem zweiten Schalter verbunden 
ist, Aufnehmen eines Eingangssignals und Ausgeben eines ers- 
ten Ansteuersignals von der ersten Steuerungseinrichtung an 
den ersten Schalter der Schalteinrichtung auf der Basis des 
Eingangssignals, wobei auf der Basis des Eingangssignals ein 

35 zweites Ansteuersignal von der zweiten Steuerungseinrichtung 
an den zweiten Schalter der Schalteinrichtung ausgegeben 
wird . 
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Der Erfindung liegt der Gedanke zugrunde, dass der Ausgang 
abgeschaltet werden soil, unabhangig davon, welcher der 
Schalter zuerst abgesteuert wird. Dadurch, dass nun beide 
Controller beziehungsweise Steuerungseinrichtungen die Rei- 
5 henschaltung aus den beiden Schaltern ansteuern und somit ei- 
ne UND-Verkniipf ung der Ausgange der Controller gegeben ist, 
wird der Ausgang an der Schalteinrichtung auf alle Falle mit 
der geringeren Reaktionszeit der beiden Controller abgeschal- 
tet. 

10 

Ein positiver Nebeneffekt dieses zeitverset zten Schaltens 
v..) ist, dass ein gleichzeitiges Verschweifien der beiden Schal- 

ter, z. B. Schutze, ausgeschlossen werden kann. Die NOTAUS- 
Funktion ist damit auch nach dem Verschweifien eines der Kon- 
15 takte der Schalter noch gewahrleistet . 



Das zeitverset zte Abschalten der Schalter hat weiterhin den 
Vorteil, dass fur beide Schalter ungefahr gleiche Lebensdau- 
ern zu erwarten sind. Dies liegt daran, dass im statistischen 
20 Mittel jeder Schalter ebenso haufig im stromfreien wie im be- 
stromten Zustand abgeschaltet wird. 

Vorzugsweise wird der erste und zweite Schalter in der 
Schalteinrichtung jeweils durch ein Relais oder einen Schutz 
25 realisiert. Alternativ kann der erste und zweite Schalter a- 
ber auch als Halbleiterschalter ausgelegt sein oder einen Op- 
tokoppler umfassen . 

Speziell entsteht der Zeitversatz durch die Zeitdauer, die 
30 der Master benotigt, urn den Slave von einem Ereignis in 
Kenntnis zu setzen. 



Vorteilhaf terweise wird eine 
Lastkreis mit der genannten, 
35 richtung ausgestattet . Dabei 



elektrische Maschine mit einem 
erf indungsgemafien Ansteuervor- 
kann die Ansteuervorrichtung 
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Patentansprtiche 

1. Ansteuervorrichtung zum Steuern oder Regeln einer sicher- 
heitskritischen Komponente mit 
5 - einer Schalteinrichtung, die einen ersten Schalter (SI) 

und einen zweiten, mit dem ersten in Reihe verbundenen 
Schalter (S2) zum Schalten der sicherheitskritischen 
Komponente auf weist , 

- einer ersten Steuerungseinrichtung (CI) zur Aufnahme 
10 eines Eingangssignals und Ausgabe eines ersten Ansteu- 

ersignals und 

- einer zweiten Steuerungseinrichtung (C2) zur Aufnahme 
des Eingangssignals und Ausgabe eines zweiten Ansteuer- 
signals, wobei 

15 - der erste Schalter (SI) der Schalteinrichtung von der 

ersten Steuerungseinrichtung (CI) und der zweite Schal- 
ter (S2) der Schalteinrichtung von der zweiten Steuer- 
einrichtung (C2) ansteuerbar sind, 
dadurch gekennzeichnet, dass 

20 - der erste Schalter (SI) und der zweite Schalter (S2) 

mit Zeitversatz zueinander ansteuerbar sind und die 
erste und zweite Steuerungseinrichtung nach dem Mas- 
ter /Slave- Pr in zip arbeiten. 

2 5 2. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zweite Schalter jeweils ein Relais oder ein Schtitz ist, 

3. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zweite Schalter jeweils ein Halbleiterschalter ist. 

30 

4. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zweite Schalter jeweils einen Optokoppler umfasst. 

5. Elektrische Maschine mit einem Lastkreis und einer An- 
35 steuervorrichtung nach einem der vorhergehenden Anspru- 

che. 
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6. Elektrische Maschine nach Anspruch 5 mit weiterhin einem 
Not-Aus-Schalter (X) zum Liefern des Eingangssignals . 

7. Verfahren zum Steuern oder Regeln einer sicherheitskriti- 
5 schen Komponente durch 

- Bereitstellen einer Schalteinrichtung, die einen ersten 
Schalter (SI) und einen zweiten, mit dem ersten in Rei- 
he verbundenen Schalter (S2) zum Schalten der sicher- 
heitskritischen Komponente aufweist, 

10 - Bereitstellen einer ersten Steuerungseinrichtung (CI), 

die mit dem Schalter (SI) verbunden ist, und einer 
( ) zweiten Steuerungseinrichtung (C2) , die mit dem zweiten 

Schalter (S2) verbunden ist, 

- Aufnehmen eines Eingangssignals, 

15 - Ausgeben eines ersten Ansteuersignals von der ersten 

Steuerungseinrichtung (CI) an den ersten Schalter (SI) 
der Schalteinrichtung auf der Basis des Eingangssignals 
und 

- Ausgeben eines zweiten Ansteuersignals von der zweiten 
20 Steuerungseinrichtung (C2) an den zweiten Schalter (S2) 

der Schalteinrichtung auf der Basis des Eingangssig- 
nals, 

dadurch gekennzeichnet, dass 

- das erste und zweite Ansteuersignal zeitversetzt zuein- 
- 25 ander ausgegeben werden, wobei das erste und das zweite 

Ansteuersignal in einem Master/Slave-Prozess in Abhan- 
gigkeit von dem Eingangssignal erzeugt werden, wodurch 
sich der definierte Zeitversatz ergibt. 

30 8. Verfahren nach Anspruch 7, wobei mit der Schalteinrich- 
tung ein Lastkreis einer elektrischen Maschine geschaltet 
wird. 

9. Verfahren nach einem der Anspriiche 7 oder 8, wobei das 
35 Eingangssignal von einem Not-Aus-Schalter (X) geliefert 

wird. 
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GERMAN TRANSLATION AID 
Es bedeutet: (It means:) 

X: Druckschriften, die Neuheit oder Erfindungshohe allein in Frage 
stellen 

(Publications, which question novelty or just obviousness) 

Y: Druckschriften, die die Erfindungshohe zusammen mit anderen 
Druckschriften in Frage stellen 

(Publications which, together with other publications, question 
obviousness) 

A: Allgemein zum Stand der Technik, technologischer Hintergrund 

(General state of the art, technological background) 

O: Nicht-schriftliche Offenbarung, z. B. ein in einer nachveroffentlichten 
Druckschrift abgedruckter Vortrag, der vor dem Anmelde- oder 
Prioritatstag offentilich gehalten wurde 

(Non-written disclosure, for example, a printed post publication of a 
lecture which was publicly made before the filing date or priority date) 

P: Im Prioritatsintervall veroffentichte Druckschriften 

(Publications publicized in a priority interval) 

T: Nachveroffentlichte, nicht kollidierende Druckschriften , die die 
Theorie der angemeldeten Erfindung betreffen und fiir ein besseres 
Verstandnis der angemeldeten Erfindung nutzlich sein konnen bzw. 
zeigen daB der angemeldeten Erfindung zugrunde liegende 
Gedankengange oder Sachverhalte falsch sein konnten 

(Post publications, not anticipating publications, which refer to the 
theory of the filed invention and which refer could be useful for a 
better understanding or, as the case may be, which could show that 
reasoning or facts of the filed invention are incorrect) 

E: Altere Anmeldungen gemaB §3 Abs.2 PatG (bei Recherchen nach § 43 
PatG); altere Patentanmeldungen oder altere Gebrauchsmuster gemaB 
§ 15 GbmG (bei Recherchen nach § 7 GbmG) 

(Older applications under § 3 section 2 PatG (inquiries under § 43 
PatG); older patent applications ir patents under § 15 GbmG (inquiries 
under § 7 GmbG)) 
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D: Druckschriften, die bereits in der Patentmeldung genannt sind 

(Publications, which are cited in the patent application) 

L: Aus besonderen Griinden genannte Druckschriften, z. B. zum 
Veroffentlichungstag einer Entgegenhaltung oder bei Zweifeln an der 
Priori tat. 

(Publications which are cited for a particular reason, for example, 
relative to the publication date of a reference or cast doubt on the 
priority) 

Veroff : Veroffentlichungstag einer Druckschrift im Priori tatsintervall 

(Publication date of a publication in a priority interval) 

nr: Nicht recherchiert, da allgemein bekannter Stand der Technik, 

oder nicht recherchierbar 

(Not searched, because it is known state of the art, or cannot be 
searched) 

=: Druckschriften, die auf dieselbe Ursprungsanmeldung 

zuznickgehen ("Patentfamilien"), oder auf die sich Referate 
oder Abstracts beziehen. 

(Publications, which refer to the same original application 
("patent family"), or which are referred to in reviews or 
abstracts.) 

Nichts ermittelt 

(Nothing discovered) 

Hier sind die Anspruche unter Zuordnung zu den in Spalte 2 genannten 
relevanten Stellen angegeben. 

(The claims are stated herein which refer to the relevant positions recited in 
column 2.) 
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